Сотрудники ФБР положили конец деятельности вредоносной сети взломанных маршрутизаторов. Оказалось, что за зараженными роутерами стояла знаменитая киберпреступная группировка, которую часто связывают с правительством России, Fancy Bear.

Как сообщает Министерство юстиции США, около 500 000 устройств, среди которых были маршрутизаторы компаний Linksys, MikroTik, NETGEAR и TP-Link, были обнаружены в 54 странах.

Fancy Bear смогли взломать их, внедрив свои вредоносные плагины, которые позволили злоумышленникам получать учетные данные подключенных пользователей.

Киберпреступники использовали программу, которая могла исчезнуть после перезагрузки, но в любой момент вернуться благодаря вредоносному серверу. ФБР удалось получить доступ к контролируемому злоумышленниками серверу.

Агенты прекратили работу сервера, более того, они переписали код с тем расчетом, чтобы все запросы с зараженных устройств шли на сервер ФБР.

Эксперты полагают, что эти взломанные маршрутизатры могли быть использованы в кибератаках на украинские сети, так как Fancy Bear часто приписывают атаки на государственном уровне. Подтверждений этим заключениям на данный момент нет.

Напомним, что эксперты Qihoo 360 Netlab пришли к выводу, что стоящие за ботнетом TheMoon операторы теперь активно используют 0-day эксплойт для атак на GPON-маршрутизаторы. Злоумышленники объединяли взломанные устройства в ботнеты, которые потом могли использоваться в любой киберпреступной деятельности.

На данный момент нет технических деталей уязвимостей, используемых киберпреступниками в реальных атаках, специалисты Qihoo 360 Netlab лишь подтвердили, что код эксплойта, который они тестировали, сработал на двух моделях маршрутизаторов GPON.